Securitylab

Безопасность WhatsApp является серьезной проблемой. Мессенджер часто становится целью мошенников и хакеров. Давайте разберемся, насколько безопасен WhatsApp.

WhatsApp, платформа для обмена сообщениями, принадлежащая Facebook, является одним из самых популярных в мире приложений для обмена сообщениями. Приложением пользуются более одного миллиарда человек, отправляя более 65 миллиардов сообщений в день.

Большая популярность приложения привлекает внимание киберпреступников, что способствовует появлению проблем безопасности, вредоносных программ и спама.

1. Вредоносное ПО для WhatsApp Web

Огромная база пользователей WhatsApp делает приложение лакомой добычей для киберпреступников, многие из которых ориентированы на WhatsApp Web. Пользователи WhatsApp могут открывать веб-сайт или загрузить настольное приложение, отсканировать код с помощью приложения на телефоне и пользоваться WhatsApp на компьютере.

Магазины приложений на телефоне - App Store на iOS или Google Play Store на Android - регулируются более тщательно, чем сайты в Интернете. Пользователю, ищущему WhatsApp в данных магазинах, сразу понятно, какое приложение является официальным. Но в интернете, к сожалению, все не так.

Киберпреступники создают и распространяют поддельные настольные приложения WhatsApp, содержащие вредоносное ПО. Загрузив вредоносное приложение, пользователь ставит свой компьютер под угрозу.

В некоторых случаях хакерам удается установить шпионское ПО WhatsApp, воспользовавшись уязвимостью приложения.

Другой подход злоумышленников заключается в создании фишинговых веб-сайтов, чтобы обманом заставить пользователей передать личную информацию. Фишинговые сайты, маскирующиеся под WhatsApp Web, просят пользователей указать свой номер телефона для подключения к услуге. Однако, фактически злоумышленники будут использовать указанный номер, чтобы завалить вас спамом, или для сопоставления с другими утекшими или взломанными данными в Интернете.

Поэтому лучший способ обезопасить себя - использовать приложения и сервисы только из официальных источников. WhatsApp предлагает веб - клиент WhatsApp Web для использования на любом компьютере. Существуют также официальные приложения для устройств Android, iPhone, macOS и Windows.

2. Незашифрованные резервные копии

Сообщения, которые пользователь отправляет в WhatsApp, зашифрованы сквозным шифрованием. Только устройство отправителя и устройство получателя могут их декодировать. Данная функция предотвращает перехват сообщений во время передачи даже самим Facebook. Тем не менее сообщения совсем не защищены после их расшифровки на устройстве.

WhatsApp позволяет создавать резервные копии сообщений и медиафайлов на Android и iOS. Такая функция очень важна, так как помогает восстанавливать случайно удаленные сообщения WhatsApp . В дополнение к облачной резервной копии на устройстве пользователя имеется локальная резервная копия. На Android можно сделать резервную копию данных WhatsApp на Google Диске. При использовании iPhone резервная копия хранится в iCloud. Такие резервные копии содержат расшифрованные сообщения с вашего устройства.

Файл резервной копии, хранящийся в iCloud или на Google Диске, никак не зашифрован. Поскольку файл содержит расшифрованные версии всех сообщений пользователя, он теоретически уязвим и подрывает сквозное шифрование WhatsApp.

Поскольку пользователь не может выбрать место хранения резервной копии и зависит от поставщиков облачных услуг, на обеспечение безопасности данных приходится только надеяться. Хотя на сегодняшний день ни один из крупномасштабных взломов не повлиял на iCloud или Google Диск, тем не менее такой сценарий возможен. Злоумышленники обладают инструментами для получения доступа к учетным записям пользователя облачного хранилища.

Одним из предполагаемых преимуществ шифрования называется возможность предотвращения доступа правительства и правоохранительных органов к данным пользователя. Поскольку незашифрованная резервная копия хранится у одного из двух поставщиков облачных хранилищ в США, при наличии ордера правоохранители легко получат неограниченный доступ к сообщениям пользователя.

3. Обмен данными Facebook

В последние годы Facebook часто критиковали за монополизм и антиконкурентные действия. Регулирующие органы пытаются минимизировать антиконкурентное поведение IT-гиганта, тщательно отслеживая поглощения .

Поэтому в 2014 году, когда Facebook решил принять WhatsApp в «семью Facebook», Европейский союз (ЕС) одобрил сделку только после заверений Facebook, что данные двух компаний будут храниться отдельно.

Facebook не понадобилось много времени, чтобы вернуться к прежней линии поведения. В 2016 году WhatsApp обновил Политику конфиденциальности и разрешил обмен данными из WhatsApp в Facebook. Передавался номер телефона, а также данные о времени последнего использования сервиса. Из-за передачи данных Facebook сообщения в WhatsApp могут оказаться под угрозой .

Техногигант заверил пользователей, что их данные не будут общедоступными на Facebook. Компания будет хранить их в недоступном и скрытом профиле Facebook. За прошедшие годы Facebook внесла изменения, чтобы упростить обмен данными, и предложила новую Политику конфиденциальности. Однако, пользователи и регулирующие органы активно сопротивлялись.

После обновления 2016 года пользователи могли отказаться от межплатформенного обмена данными в WhatsApp, но через некоторое время данная опция была тихо удалена. Затем, в 2019 году, Facebook объявила о планах по объединению своих платформ обмена сообщениями . В конце 2020 года были реализованы первые этапы данного проекта - компания связала Messenger с Instagram Direct.

В январе 2021 года Facebook выпустила новую политику обмена данными для WhatsApp , согласно которой пользовательская информация будет передаваться между приложением для обмена сообщениями и социальной сетью. После многочисленных жалоб пользователей компания отметила, что ограничит возможности WhatsApp для всех несогласных .

По состоянию на июнь 2021 года компания Facebook смягчила наказание, хотя по-прежнему продолжает поощрять пользователей согласиться с новыми правилами.

4. Обман и фейковые новости

В последние годы компании, занимающиеся социальными сетями, подвергаются критике за распространение на своих платформах фальшивых новостей и дезинформации. Facebook, в частности, обвинялся в распространение дезинформации в ходе президентской кампании 2020 года в США. WhatsApp также подвергался подобным нападкам.

Два наиболее заметных случая произошли в Индии и Бразилии. WhatsApp оказался замешан в массовом насилии, произошедшем в Индии в 2017 и 2018 годах. Сообщения, содержащие сфабрикованные подробности похищений детей, активно пересылались пользователями и широко распространялись по платформе. Фейковые сообщения спровоцировали волну ненависти и привели к линчеванию обвиняемых выдуманных преступлениях.

В Бразилии WhatsApp был основным источником фейковых новостей во время выборов 2018 года. Поскольку дезинформация очень легко распространялась, бразильские бизнесмены создали компании для ведения незаконной дезинформации в WhatsApp против кандидатов. Бизнесмены приобрели списки телефонных номеров и устроили таргетированную рассылку.

Обе проблемы произошли в 2018 году, печально известном для Facebook. Цифровая дезинформация - сложная проблема. Однако, многие считают реакцию WhatsApp неправильной и слишком безразличной.

После инцидентов компания внесла несколько изменений. WhatsApp установил ограничения на переадресацию. Теперь пользователь может пересылать сообщения только пяти группам вместо прежнего ограничения в 250. Компания также удалила кнопку быстрого доступа для пересылки в ряде регионов.

Несмотря на данные исправления, на раннем этапе пандемии COVID-19 WhatsApp использовался для распространения дезинформации о вирусе. В апреле 2020 года во всем мире были введены карантинные меры. Напуганные люди пытались найти информацию в Интернете.

После происшествия Facebook снова ввел ограничения на пересылку для предотвращения распространения неверной или ложной информации. Также Facebook совместно с властями и организациями здравоохранения по всему миру занимался разработкой чат-ботов WhatsApp, предоставляя людям надежную информацию о пандемии.

Оба сценария - политические события 2018 года и пандемия COVID-19 – реализовались из-за одних и тех же проблем; ложная информация передается сразу нескольким людям. Учитывая, что компания Facebook якобы решила эту проблему в 2018 году, остается непонятным, почему дезинформация о пандемии вообще стала возможной. Может быть, незаметно были сняты лимиты пересылки или исправления 2018 года оказались неэффективными.

5. Статус WhatsApp

В течение многих лет функция статуса WhatsApp, короткая строка текста, была для пользователей единственным способом рассказать о том, что вы сейчас делаете. Затем данная функция превратилась в WhatsApp Status, клон популярной функции Instagram Stories.

Instagram - платформа, предназначенная для публичного использования, конечно вы можете сделать свой профиль приватным, если захотите. WhatsApp, в свою очередь, более личный сервис, используемый для общения с друзьями и семьей. Логично предположить, что делиться статусом в WhatsApp тоже конфиденциально.

Однако, на самом деле это не так. Любой из контактов пользователя WhatsApp может просматривать его статус. К счастью, пользователь может легко контролировать, с кем делится своим Статусом.

Перейдя в «Настройки»>«Учетная запись»> «Конфиденциальность»> «Статус», увидите три варианта конфиденциальности для обновлений статуса:

Мои контакты

Мои контакты, кроме ...

Делитесь только с ...

Стоит отметить, что заблокированные контакты не могут просматривать статус пользователя независимо от настроек конфиденциальности. Как и в случае с Instagram Stories, любые видео и фотографии, добавленные в статус, исчезнут через 24 часа.

WhatsApp безопасен?

Итак, безопасно ли использовать WhatsApp? WhatsApp – очень запутанная платформа. С одной стороны, компания внедрила сквозное шифрование в одно из самых популярных приложений в мире, что несомненно является потенциалом роста безопасности.

Однако в WhatsApp существует много других проблем с безопасностью. После вхождения в «семью Facebook» WhatsApp страдает от тех же угроз конфиденциальности и кампаний дезинформации, как и материнская компания.

securitylab

Вопросы сюда

Срочно обновите свой Хром https://support.google.com/chrome/answer/95414?co=GEN..

Множественные уязвимости в Google Chrome

Количество уязвимостей:10

CVSSv3 рейтинг: 8.8 [CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C]

8.8 [CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C]

8.8 [CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C]

8.8 [CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C]

8.8 [CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C]

8.8 [CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C]

8.8 [CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C]

8.8 [CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C]

6.5 [CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C]

8.8 [CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C] CVE ID: CVE-2021-21194

CVE-2021-21195

CVE-2021-21196

CVE-2021-21197

CVE-2021-21198

CVE-2021-21199

Вектор эксплуатации: Удаленная Воздействие: Обход ограничений безопасности

Компрометация системы CWE ID: Нет данных

Наличие эксплоита: Нет данных

Уязвимые продукты: Google Chrome

Уязвимые версии: Google Chrome версии 89.0.4389.0, 89.0.4389.1, 89.0.4389.2, 89.0.4389.3, 89.0.4389.4, 89.0.4389.5, 89.0.4389.6, 89.0.4389.7, 89.0.4389.8, 89.0.4389.9, 89.0.4389.10, 89.0.4389.11, 89.0.4389.12, 89.0.4389.13, 89.0.4389.14, 89.0.4389.15, 89.0.4389.16, 89.0.4389.18, 89.0.4389.20, 89.0.4389.23, 89.0.4389.24, 89.0.4389.25, 89.0.4389.26, 89.0.4389.27, 89.0.4389.28, 89.0.4389.29, 89.0.4389.30, 89.0.4389.31, 89.0.4389.32, 89.0.4389.33, 89.0.4389.35, 89.0.4389.39, 89.0.4389.40, 89.0.4389.41, 89.0.4389.42, 89.0.4389.43, 89.0.4389.44, 89.0.4389.45, 89.0.4389.46, 89.0.4389.47, 89.0.4389.48, 89.0.4389.49, 89.0.4389.50, 89.0.4389.51, 89.0.4389.52, 89.0.4389.53, 89.0.4389.54, 89.0.4389.55, 89.0.4389.56, 89.0.4389.57, 89.0.4389.58, 89.0.4389.59, 89.0.4389.60, 89.0.4389.61, 89.0.4389.62, 89.0.4389.63, 89.0.4389.64, 89.0.4389.65, 89.0.4389.66, 89.0.4389.67, 89.0.4389.68, 89.0.4389.69, 89.0.4389.70, 89.0.4389.71, 89.0.4389.72, 89.0.4389.73, 89.0.4389.74, 89.0.4389.75, 89.0.4389.76, 89.0.4389.77, 89.0.4389.78, 89.0.4389.79, 89.0.4389.80, 89.0.4389.81, 89.0.4389.82, 89.0.4389.83, 89.0.4389.84, 89.0.4389.85, 89.0.4389.86, 89.0.4389.87, 89.0.4389.88, 89.0.4389.89, 89.0.4389.90, 89.0.4389.91, 89.0.4389.92, 89.0.4389.93, 89.0.4389.94, 89.0.4389.95, 89.0.4389.96, 89.0.4389.97, 89.0.4389.98, 89.0.4389.99, 89.0.4389.100, 89.0.4389.101, 89.0.4389.102, 89.0.4389.104, 89.0.4389.105, 89.0.4389.108, 89.0.4389.109, 89.0.4389.110, 89.0.4389.111, 89.0.4389.112, 89.0.4389.113, 88.0.4324.182, 88.0.4324.150, 88.0.4324.146, 88.0.4324.96, 87.0.4280.141, 87.0.4280.88, 87.0.4280.66, 86.0.4240.198, 86.0.4240.99

Учитывая появление большого количества новых брендов на рынке интимных товаров, необходимо уделить внимание их безопасности.

Специалисты ИБ-компании ESET рассказали об опасных уязвимостях в недавно появившихся на рынке интимных игрушках, которые могут быть проэксплуатированы хакерами.

Учитывая появление большого количества новых брендов на рынке интимных товаров, особенно в период пандемии, исследователи считают, что необходимо уделить пристальное внимание их безопасности. Исследовательницы Дениз Гиусто Билич (Denise Giusto Bilić) и Сесилия Пасторино (Cecilia Pastorino) продемонстрировали, как технологии наподобие Bluetooth и небезопасные API делают персональные IoT-устройства уязвимыми к атакам, идущим далеко за пределы компрометации приватности пользователей.

По словам экспертов, новые носимые устройства наподобие секс-игрушек оснащены многими функциями, такими как online-конференция, обмен сообщениями, доступ к интернету и Bluetooth.

Исследовательницы объясняют, что большинство этих интеллектуальных устройств имеют два канала связи. Во-первых, связь между пользователем смартфона и самим устройством устанавливается через Bluetooth Low Energy (BLE), при этом пользователь сам запускает приложение для управления "умной" игрушкой. Во-вторых, связь между удаленным партнером и приложением, устанавливающаяся через интернет. Чтобы преодолеть разрыв между удаленным партнером и пользователем устройства, "умные" игрушки, как и любые другие IoT-устройства, используют серверы с конечными точками API, обрабатывающими запросы.

В некоторых случаях облачный сервис также выступает в качестве посредника между партнерами, используя такие функции, как чат, видеоконференцсвязь и передача файлов, или даже предоставляя удаленное управление устройствами партнеру.

Однако обрабатываемая секс-игрушками информация состоит из высокочувствительных данных, таких как имена, сексуальная ориентация, пол, список сексуальных партнеров, личные фотографии и видео, которые в случае утечки могут скомпрометировать пользователя, чем могут воспользоваться шантажисты и вымогатели.

Помимо угрозы конфиденциальности пользователей интимные игрушки также могут представлять угрозу их здоровью, например, из-за перегревания. Более того, злоумышленники могут перехватить контроль над устройством во время его использования и отправлять команды.

"Может ли кибератака на интимное устройство считаться сексуальным насилием и даже привести к предъявлению обвинений в сексуальном домогательстве?", - задались вопросом исследовательницы.

Для того чтобы продемонстрировать серьезность проблемы, Билич и Пасторино провели анализ "умных" игрушек Max от Lovense и We-Vibe Jive. Как обнаружилось, оба этих устройства используют наименее безопасный метод сопряжения Bluetooth «Just Works».

С помощью фреймворка BtleJuice и двух BLE-ключей исследовательницы продемонстрировали, как злоумышленник, осуществивший атаку "человек-посередине", может взять под контроль устройства и перехватить пакеты. Затем он может модифицировать эти пакеты и передавать снова, чтобы изменить настройки устройства, в том числе режим вибрации, интенсивность и пр.

Кроме того, конечные точки API, используемые для подключения удаленного партнера, используют токен, который можно легко подобрать путем перебора. Это чрезвычайно серьезная уязвимость, поскольку она позволяет злоумышленникам удаленно захватить контроль над устройством, ожидающим подключения через активные токены, без согласия или ведома пользователя.

Источник: https://www.securitylab.ru/news/517402.php